株式会社CISO代表 那須氏に聞く中小企業の情報セキュリティ対策のはじめ方 第二回 「企業を脅かすサイバー攻撃の手口」

株式会社CISO代表 那須氏に聞く中小企業の情報セキュリティ対策のはじめ方 第二回 「企業を脅かすサイバー攻撃の手口」 (2021年11月12日 掲載)

情報セキュリティ対策は大手企業だけでなく中小企業でも必須ですが、なかなか手が回らないのが実情です。そうした中小企業が抱える課題にセキュリティの専門家 CISO代表 那須氏が指南。自動車部品の製造業を営むA氏が情報セキュリティ対策について那須氏に相談した内容をシリーズでお届けします。第二回の本記事では企業を脅かすサイバー攻撃の手口について解説します。

【前回までの内容】
第一回記事:迫り来るサイバー攻撃

目次

CISO那須代表

那須 慎二 氏

株式会社 CISO 代表取締役

中小企業経営者A氏の悩み

A氏は都内で自動車部品の製造業を営んでいます。会社の規模は大きくないのですが、独自の加工技術を持っており、大手の自動車メーカと安定的な取引が出来ています。A氏が参加したある会合で、サイバー攻撃を受け機密情報が流出したことにより、大きな被害を被った同業他社の話を聞きました。その会社はA氏の会社と同じく中小規模であったため、A氏は自社も狙われるのではないか? 情報セキュリティは大丈夫なのか?と不安を感じ、企業セキュリティの専門家である株式会社CISO代表取締役の那須 慎二 氏に相談を持ち掛けました。

中小企業経営者 A氏
情報セキュリティの専門家 那須氏

サイバー攻撃の手口①メールによる攻撃

A氏提案、話始め
A氏:先日はサイバー攻撃の危険性について教えて頂き、ありがとうございました。あれから、自分でも少し調べてみたのですが、サイバー攻撃には色々な手口があるのですね。どこから対策すればいいのでしょうか?

那須さん提案、話始め
那須氏:それではまず、手口の内容についてお話ししましょう。企業に対するサイバー攻撃の手口は、大きく三種類に分けられます。まずは、メールによる攻撃。これは最も頻度が高い攻撃の手口で、ウイルスを仕込んだファイルをメールに添付して送り、ファイルの開封によってウイルスに感染させるのが典型的です。ほかにもPPAPと呼ばれる業務上の習慣を悪用したメール攻撃も盛んに行われています。Aさんの企業でも、Zip形式などに圧縮&暗号化したファイルとパスワードを別々のメールで送っていませんか?それがPPAPです。

A氏不安、困惑
A氏:送っているかもしれません...でも、暗号化ファイルとパスワードを一件のメールで送るより安全な気がするのですが...

那須さん詳細説明
那須氏:それが、実は危険なのです....。ファイルとパスワードが同じメールの経路を通るので、そこをサイバー攻撃者に握られると、すぐに情報が流出してしまいます。仮にファイルとパスワードの送信経路を分けることができたとしても、パスワードの解析はそれほど難しくありません。また、暗号化ファイルはウイルス対策ソフトでは検知されないケースもあるので、PPAPを業務に取り入れている企業が危険な暗号化ファイルを開封してしまうと、防御をすり抜けてシステムに侵入されてしまいます。このように、PPAPはやはり危ない運用と言えます。

A氏考えこむ
A氏:メールの扱い方を見直さなければ...。

サイバー攻撃の手口②Webサイト経由の攻撃

那須さん説明
那須氏:サイバー攻撃のうち、二つ目の代表的な手口がWebサイト経由の攻撃です。インターネット上に公開されているWebサイトを閲覧しただけでウイルスを自分のPCに入れてしまうなどの被害が起こり得るのです。

A氏驚愕
A氏:ええ!普通のWebサイトを閲覧しただけでウイルスに感染するんですか?

那須さん詳細説明
那須氏:はい、ごく普通のWebサイトが乗っ取られて攻撃の足掛かりになっています。しかも、表面上はデザインなども崩れておらず、閲覧者が見分けるのはまず不可能です。そして、閲覧者側の端末にOSが適切にアップデートされていない、インターネットブラウザが古いなどの脆弱性があると、問題のWebサイトを開いた瞬間にウイルスに感染します。
ほかにも、Webサイトに表示されている広告に危険が潜んでいることがあります。この場合、Webサイト自体には問題がなくとも、広告を配信しているサーバが攻撃されており、ウイルスをばらまいている状態です。これはマルウェア(コンピュータウイルス)とアドバタイジング(広告)の掛け合わせなので、「マルバタイジング」と呼ばれています。

A氏考える
A氏:ううむ...危険なWebサイトとは、先日教えて頂いたダークWebくらいかと思っていたのですが、実際には身の回りに溢れているのですね。

*ダークWebとは麻薬や拳銃、さらに企業の情報などが売買されている非合法Webサイト

サイバー攻撃の手口③ネットワーク機器への攻撃

那須さん説明
那須氏:そして、サイバー攻撃の三つ目の手口がルータなどネットワーク機器の脆弱性を突く攻撃です。こうした機器は業務で日常的に触れたりメンテナンスをすることが少ないのですが、実は適切にアップデートをしないとサイバー攻撃者の侵入を許してしまいます。しかも、こうした機器は企業のネットワークの要であり社内のさまざまな端末に繋がっているので、攻撃を受ければ多くの情報が危険に晒されます。

A氏落ち込む
A氏:ネットワーク機器ですか...確かに職場に導入した後は、特に注意を払っていませんね。

それぞれの攻撃手口への対抗方法

A氏疑問
A氏:サイバー攻撃にも色々な手口があるんですね。できれば、それぞれの手口への対処方法についても簡単に教えてください。

那須さん詳細説明
那須氏:勿論です。まず、メールやWebサイトを経由したサイバー攻撃の被害はOSやインターネットブラウザを最新バージョンに更新することで、ある程度回避することが可能です。ことセキュリティにおいては、新しいことがよいことなのです。もちろん、怪しい発信元から送られてきたメールやファイルを開かないよう、社内で徹底することも重要です。
また、PPAP問題については、メールではなくオンラインストレージなどを使うことで解消することができます。

*オンラインストレージ:インターネット上にデータを保管するサービス。ユーザ間のデータ受け渡しなどにも使用できる。

ネットワーク機器は社内のシステム部門ではソフトウェアのアップデート対応などが難しいこともあるので、機器のメーカなどと保守契約をしっかり見直して定期的なメンテナンスを受けられるようにすることをお勧めします。

A氏万歳
A氏:なるほど、まずはOSやブラウザのバージョンを確認してみようと思います。おっと、もうこんな時間ですね。また今度、お話しを聞かせてください!

那須さん万歳
那須氏:はい、またいつでもどうぞ!

本記事をご覧頂き有難うございました。次回のテーマは「サイバー攻撃対策でよくある誤解とその回答」で、公開は11月下旬を予定しております。宜しければ、次回もご覧頂ければ幸いです。

記事では紹介しきれなかった、より詳細なサイバー攻撃の手口や具体的な対策方法などの情報は下記フォームより資料をダウンロード頂けます。貴社のセキュリティ強化のため、社内回覧などにお役立て頂ければ幸いです。